Annuncio pubblicitario

Java, una volta un componente vitale del web, è diventato popolare negli ultimi anni. La maggior parte dei browser moderni blocca Java per impostazione predefinita e la maggior parte degli utenti domestici non deve più installarlo.

Abbiamo sentito da tempo che Java è il singolo software più insicuro per i computer desktop, in particolare Windows. Ma è ancora vero? Scaviamo dentro e scopriamo.

I problemi storici con Java

Il motivo principale per cui Java è diventato un bersaglio così popolare per l'attacco è la sua diffusione. Poiché Java è stato progettato per la massima compatibilità, funziona su una serie di dispositivi. Oltre ai computer, Java supporta i lettori Blu-ray, le stampanti, i sistemi di pagamento dei parcheggi, i dispositivi della lotteria e molto altro. È l'opposto di sicurezza attraverso l'oscurità: una piattaforma importante fornisce il miglior risultato per un attacco.

Certo, ci occupiamo di Java sul desktop. E lì, la peggiore offesa è che Java non si aggiorna automaticamente. A differenza della maggior parte degli altri programmi moderni, Java chiede semplicemente all'utente di installare gli aggiornamenti quando disponibili. Ancora peggio, per impostazione predefinita, Java controlla gli aggiornamenti solo una volta alla settimana o anche una volta al mese. È pericoloso per un'app con così tante vulnerabilità di sicurezza.

instagram viewer

Molte persone visualizzano il prompt di aggiornamento e lo ignorano, determinando l'esecuzione di una versione obsoleta di Java. E con le nuove versioni offerte regolarmente, anche chi installa alcuni aggiornamenti può sentirsi frustrato e ignorarne altri. In alcuni casi, anche quando gli utenti installano una nuova versione, lasciano installata anche la vecchia copia di Java. Questo amplia la loro vulnerabilità agli attacchi.

Naturalmente, non possiamo dimenticare la saga di Java di lunga data di inclusione la terribile Ask Toolbar. Ogni volta che hai installato o aggiornato Java, devi ricordare di deselezionare una casella o includerebbe quel pezzo di spazzatura. Pur non essendo un exploit, questo ha lasciato un cattivo gusto nella bocca degli utenti.

Java compie oggi 22 anni.

Dovremmo inviare a Oracle una torta con su Ask Toolbar.

- Tim Barrett (@timbarrett) 24 gennaio 2018

Java moderno

Quindi questo è ciò che era sbagliato in Java in passato, ma che dire di recente?

Nell'ottobre 2017, Veracode ha riscontrato [Non più disponibile] che l'88 percento delle applicazioni Java contiene almeno un componente vulnerabile. All'inizio del 2016, Oracle lo ha annunciato anche il programma di installazione Java era vulnerabile. Se un utente malintenzionato inseriva un file DLL con un nome specifico nella cartella Download, si innescherebbe un'infezione quando si eseguiva il programma di installazione Java. E in generale, a causa della popolarità di Java, dovresti solo farlo visitare un sito Web compromesso che ha sfruttato la tua copia obsoleta di Java per essere infetto.

Anche se questo significa che Java è tutt'altro che sicuro, ci sono anche buone notizie. All'inizio del 2016, Oracle ha annunciato che prevede di deprecare il plug-in del browser Java (che è la fonte della maggior parte dei problemi) in JDK 9, che è ora disponibile. Anche i browser moderni hanno lasciato Java alle spalle. Chrome ha abbandonato il supporto per Java alla fine del 2015 e Firefox ha smesso di supportarlo all'inizio del 2017. Browser Edge di Microsoft, incluso con Windows 10, non supporta affatto Java.

Ciò significa che se devi davvero utilizzare Java in un browser, dovrai utilizzare Internet Explorer.

Le maggiori vulnerabilità

Dal momento che Java sta diminuendo di popolarità, qual è il suo posto come software desktop più insicuro?

Ultimi dati di Flexera, dal 1 ° trimestre 2017, rivela che il 7,8% dei programmi sul PC medio ha raggiunto la fine della sua vita. Classifica i primi 10 programmi più esposti, in base alla quota di mercato moltiplicata per la percentuale di utenti che non hanno patchato:

  1. iTunes 12.x
  2. Java 8.x
  3. VLC Media Player 2.x
  4. Adobe Reader XI 11.x
  5. Adobe Shockwave Player 12.x
  6. Malwarebytes Anti-Malware 2.x
  7. Kindle per PC 1.x
  8. Adobe Acrobat Reader DC 15.x
  9. uTorrent 3.x
  10. iCloud per Windows 6.x

Questo elenco potrebbe sorprenderti. Mentre Java non è il programma più rischioso, è ancora il secondo. Anche altri programmi che in genere non associamo a rischi per la sicurezza, come VLC e Malwarebytes, occupano un posto. Ciò dimostra l'importanza di mantenere aggiornato tutto il software, non solo quelli popolari.

Possiamo vedere di più esaminando Rapporto sulla sicurezza del 3 ° trimestre 2017 di Avast. Elenca i 10 programmi più obsoleti sui PC dei suoi utenti:

  1. Java 6, 7 e 8
  2. Adobe Air
  3. Adobe Shockwave
  4. VLC Media Player
  5. iTunes
  6. Firefox
  7. 7-Zip
  8. WinRAR
  9. Tempo veloce
  10. Adobe Flash Player

Quando includi le versioni precedenti, sembra che Java sia ancora in cima al software meno aggiornato. Anche i plugin di Adobe sono grandi colpevoli e vediamo che anche iTunes e VLC hanno fatto questo elenco.

Al contrario, secondo TechRadar, Chrome è in cima per le app aggiornate. Durante il sondaggio, l'88% degli utenti che eseguono Chrome aveva installato l'ultima versione. Ciò mostra come gli aggiornamenti automatici silenziosi facciano una grande differenza, rispetto ai fastidiosi prompt di aggiornamento utilizzati dai runtime di Java e Adobe.

Non dimenticare troppo gli aggiornamenti del sistema operativo

Un altro componente vitale dell'aggiornamento da ricordare sono gli aggiornamenti del SO. Ricorda che gli utenti che hanno installato aggiornamenti automatici sono stati risparmiati il terribile attacco ransomware a metà 2017 L'attacco globale al ransomware e come proteggere i tuoi datiUn massiccio attacco informatico ha colpito i computer di tutto il mondo. Sei stato colpito dal ransomware autoregolante ad alta virulenza? In caso contrario, come puoi proteggere i tuoi dati senza pagare il riscatto? Leggi di più . Anche se mantieni aggiornato software come Java, il tuo computer è ancora a rischio se non installi gli aggiornamenti di Windows.

Windows 10 semplifica questi aggiornamenti automatici Pro e contro degli aggiornamenti forzati in Windows 10Gli aggiornamenti cambieranno in Windows 10. In questo momento puoi scegliere. Windows 10, tuttavia, imporrà aggiornamenti su di te. Ha vantaggi, come una maggiore sicurezza, ma può anche andare storto. Cosa c'è di più... Leggi di più , ma quelli su Windows 7 potrebbero averli disabilitati. E quelli che usano ancora Windows XP quasi quattro anni dopo la sua fine della vita si stanno mettendo a grave rischio.

Quanto è pericoloso Java, davvero?

Nel complesso, possiamo ancora dire che Java è il più grande rischio per la sicurezza dei desktop? Non proprio. Sul lato negativo, le persone continuano a eseguire versioni obsolete di Java anche se non ne hanno davvero bisogno. Questo li apre alle vulnerabilità della sicurezza. Tuttavia, poiché la maggior parte dei browser non supporta più Java, non sono aperti agli attacchi come una volta.

Il punto debole della sicurezza del tuo computer deriva dal software più popolare che non tieni aggiornato. Se hai la versione più recente di Java ma non l'hai ancora fatto disinstallato QuickTime non supportato per Windows, è un grosso rischio. Avere una versione obsoleta di Flash, Adobe Reader o iTunes potrebbe aprirti anche agli attacchi.

umore attuale: negare un aggiornamento del software per 18 mesi e ora lo strumento per scaricare non è aggiornato

- falene (@ 13_moths) 12 febbraio 2018

Dai dati sopra possiamo ricavare che i programmi senza aggiornamenti automatici sono in genere i meno sicuri. Ad esempio, iTunes chiede costantemente agli utenti di aggiornare, il che è fastidioso. Questo porta le persone a ignorare gli aggiornamenti e lasciare installata una versione non sicura.

Che dire di Mac e Linux?

Ci siamo concentrati su Java per Windows sopra, ma vale la pena menzionare rapidamente come questo influenza anche gli utenti Mac e Linux.

Sorprendentemente, mentre Apple non consente ai plug-in di funzionare in modo predefinito in Safari, il browser supporta ancora i vecchi plug-in come Java e Silverlight. Mentre dovresti disinstallare Java sul tuo Mac a meno che non sia necessario per un motivo specifico, Java non ha causato tanti problemi per gli utenti Mac come su Windows. Ultimamente, la maggior parte delle falle di sicurezza in macOS sono state grazie alle sviste da parte della stessa Apple.

Devo installare NetBeans per qualcosa. La versione per Mac viene fornita come pacchetto di installazione (!), Che era una bandiera rossa. Ma poi voleva che installassi Java ...

No. No, no, no. Nooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooope.

- Cyberpunk 2077 Sucks (@_nulldragon) 8 febbraio 2018

Anche Linux non ha riscontrato alcuna vulnerabilità Java unica. Se hai bisogno di un browser che supporti Java su Linux, puoi provare Versione ESR (Extended Support Release) di Firefox. Firefox fornisce questa versione per ambienti aziendali; fornisce gli ultimi aggiornamenti di sicurezza ma attende più a lungo per implementare gli aggiornamenti delle funzionalità. La versione attuale, 52, supporta Java e altri plug-in legacy saranno disponibili fino al secondo trimestre 2018.

Un futuro senza plug-in

La buona notizia è che non hai bisogno della maggior parte di questi plugin potenzialmente pericolosi e fastidiosi Pensi che Flash sia l'unico plugin insicuro? Pensa di nuovoFlash non è l'unico plug-in del browser che presenta un rischio per la privacy e la sicurezza online. Ecco altri tre plugin che probabilmente hai installato nel tuo browser, ma che dovresti disinstallare oggi. Leggi di più installato più. Pochissimi siti Web utilizzano Java e il programma principale per cui le persone hanno mantenuto Java installato — Minecraft—include ora una versione in bundle sicura di Java Come installare la versione completa di Minecraft su un PC LinuxMinecraft è uno dei più grandi giochi al mondo e funziona praticamente su ogni piattaforma. Vuoi farlo funzionare sul tuo computer Linux? Ti mostreremo come. Leggi di più . Non sono nemmeno necessari altri plug-in. Microsoft ha deprecato Silverlight anni fa e sarebbe difficile trovare un sito con contenuti Shockwave.

Flash è l'eccezione solitaria Die Flash Die: la storia continua delle aziende tecnologiche che cercano di uccidere FlashFlash è in declino da molto tempo, ma quando morirà? Leggi di più . La maggior parte dei browser lo supporta ancora per la sua popolarità, ma Adobe lo ucciderà nel 2020. Fino ad allora, assicurati di aggiornare Flash sul tuo PC. Chrome lo fa automaticamente, quindi potresti non averlo nemmeno più installato (il che è fantastico).

Quindi in breve: Java è ancora insicuro ma presenta meno rischi grazie ai browser che lo disabilitano. Dovresti disinstallare i programmi che non ti servono (compresi i vecchi plug-in), mantenere aggiornato il software sul tuo computer e applicare gli aggiornamenti del sistema operativo. Se lo fai, sarai benestante.

Credito di immagine: avemario /Depositphotos

Ben è un vicedirettore e il Post Manager sponsorizzato di MakeUseOf. Ha conseguito un B.S. in Computer Information Systems presso il Grove City College, dove si è laureato con lode e con lode in specializzazione. Gli piace aiutare gli altri ed è appassionato di videogiochi come mezzo.